セキュリティポリシーを通じて許可される TCP 3 方向ハンドシェイクは、キャプティブポータルを使用するときにトラフィックを拒否します
91406
Created On 09/25/18 19:47 PM - Last Modified 06/14/23 05:56 AM
Symptom
兆候
特定の宛先へのトラフィックを拒否するようにセキュリティポリシーが定義されている場合は、パロアルトネットワークファイアウォールが3方向ハンドシェイクを通過することを許可していることがわかります。
例:
ユーザー @ ホスト > 実行中のセキュリティポリシーを表示する
PANOBLOCK {
任意;
ソース任意;
ソースリージョンなし;
宛先 104.244.14.253;宛先リージョンなし; < specific="" destination="">
</>
ユーザーのいずれか;
カテゴリ any;アプリケーション/サービス任意/任意/任意の
;
アクションの拒否;icmp 到達不能: ターミナルなし;} < simple="" destination="" ip="" based="">
</>
ユーザー @ ホスト > セッション id 10622 を表示
セッション10622
c2s フロー:
ソース: 192.168.15.41 [L3-トラスト]
dst: 104.244.14.253
プロト: 6
スポーツ: 49460 dport:80
状態: アクティブタイプ: フロー
src ユーザー: 不明な
dst ユーザー: 不明
s2c フロー:
ソース: 104.244.14.253 [L3-Untrust]
dst: 10.129.72.15
プロト: 6
スポーツ:80 dport: 17747
状態: アクティブタイプ: フロー
src ユーザー: 不明な
dst ユーザー: 不明
開始時間: 木10月 27 19:52:53 2016
タイムアウト:90 秒
のライブ時間:76 秒合計バイト数 (
c2s): 672
合計バイト数 (s2c):62
layer7 パケット数 (c2s): 5 <>
</> layer7 パケット数 (s2c): 1 <>
</> vsys: vsys1
アプリケーション: web ブラウジング
ルール: PANOBLOCK セッション
が終了時にログに記録される: セッション
エイガーでの偽セッション:
HA ピアによって更新された真のセッション: 偽
アドレス/ポート変換: ソース
nat ルール: NAT_OUT (vsys1)
layer7 処理: 有効な
URL フィルタリング有効: 真
の URL カテゴリ: syn を介して解決されていない
セッション-クッキー: 偽のセッションは、
ホスト上で終了: 偽セッションはトンネルを横断: 偽
キャプティブポータルセッション: 偽の
進入インタフェース: ethernet1/4
出力インタフェース:ethernet1/3
セッション QoS ルール: N/A (クラス 4)
エンド理由: ポリシー拒否< policy="" action=""></>
トラフィックが拒否ポリシーパケットと一致し、送信されていることがわかります。
パケットキャプチャは、パケットが実際に送信されていることも明らかにします。
診断
これは、トラフィックが構成済みのキャプティブポータルポリシーと一致する場合に発生します。
例:
ユーザー @ ホスト > 実行中のキャプティブポータル-ポリシーの表示
テスト {
l3 からの信頼;
ソース any;
l3-Untrust;
宛先 any;
カテゴリ any;
サービス [tcp/any/80 tcp/任意/8080];
アクション web フォーム;
ターミナルはい;
}
フロー基本セットを使用してパケット diag を実行すると、トラフィックがキャプティブポータルポリシーと一致することに注意することができます。
例:
= = 2016-10-27 19:52: 53.510-0700 = =
パケット slowpath 段階で受信パケット
情報: レン62ポート19インターフェイス 19 vsys 1
wqe インデックス229362パケット 0x0x8000000037b900e6
パケットデコードダンプ:
L2: 00:50:56:93:51:10-> 58:49: 3b: 9d: a6:13、タイプ0x0800
IP アドレス: 192.168.15.41-> 104.244.14.253、プロトコル 6
バージョン4、ihl 5、tos 0x00、len 48、
id 991、frag_off 0x4000、ttl 128、チェックサム 44838
TCP: スポーツ49460、dport 80、seq 1732543400、ack 0、
予約0、オフセット7、ウィンドウ8192、チェックサム28395,
フラグ 0x0002 (SYN), 緊急データ 0
TCP オプション:
00000000:02 04 05 b4 01 01 04 02 ...
セッション設定: vsys 1
PBF ルックアップ (vsys 1) アプリケーションの web ブラウジング
セッションのセットアップ: 進入インタフェース ethernet1/4 出力インタフェース ethernet1/3 (ゾーン 8)
NAT ポリシールックアップ、一致したルールインデックス 0
2016-10-27 19:52: 53.510-0700 デバッグ: __pan_cfg_cp_policy_lookup (pan_cfg_cp_policy c:154): 返されたルールインデックスは 0Pa
cket 一致したキャプティブポータルルール < matching="" captive="" portal=""></> 、アクション 1
次に、キャプティブポータルセッショントラフィックの内部セキュリティポリシーを通じてトラフィックが許可されていることを確認します。
ポリシールックアップ、一致したルールインデックス0は、特別 < hitting="" a="" special="" rule="">に
割り当てられた新しいセッション10622です。
ポート80または 8080 (復号化が有効になっている場合は 443) へのトラフィックがある場合、キャプティブポータルポリシーと一致し、構成済みのセキュリティポリシールックアップをバイパスし、3方向ハンドシェイクを許可します。
この振る舞いは、キャプティブポータルの場合には、パロアルトネットワークのファイアウォールは、"リダイレクト" または "web フォーム"、進行中の "http" セッションをハイジャックすることによって提示するという事実によるものです。3ウェイハンドシェイクが許可され、パロアルトネットワークファイアウォールは、"http-get" 要求を傍受し、リダイレクトを送信します。
Resolution
特定の宛先への3方向ハンドシェイクをブロックする場合は、特定の送り先に対して非キャプティブポータルポリシーをコンフィグレーションし、既存のキャプティブポータルポリシーの前に挿入する必要があります。
例:
テスト-除外 {
l3 から-信頼;
ソース any;
に l3-Untrust;
宛先 104.244.14.253;
カテゴリ any;
サービス [tcp/any/80 tcp/任意/8080];
アクションなし-キャプティブ-ポータル;
ターミナル no;
}
これで、パケット diag ログから、トラフィックが予期したとおりに拒否されることがわかり、その送信先に対して作成されたセッションを表示できなくなります。
ユーザー @ ホスト > 以下の dp-ログ pan_packet_diag
= = 2016-10-27 20:02: 53.356-0700 = =
パケット slowpath 段階で受信パケット
情報: レン66ポート19インターフェイス 19 vsys 1
wqe インデックス228960パケット 0x0x8000000037bae8e6
パケットデコードダンプ:
L2: 00:50:56:93:51:10-> 58:49: 3b: 9d: a6:13、タイプ0x0800
IP アドレス: 192.168.15.41-> 104.244.14.253、プロトコル 6
バージョン4、ihl 5、tos 0x00、len 52、
id 1097、frag_off 0x4000、ttl 128、チェックサム 44728
TCP: スポーツ49467、dport 80、seq 1588496236、ack 0、
予約0、オフセット8、ウィンドウ8192、チェックサム24487,
フラグ 0x0002 (SYN), 緊急データ 0
TCP オプション:
00000000:02 04 05 b4 01 03 03 08 01 01 04 02 ... ....
セッション設定: vsys 1
PBF ルックアップ (vsys 1) アプリケーションなし
セッションセットアップ: 進入インタフェース ethernet1/4 出力インタフェース ethernet1/3 (ゾーン 8)
NAT ポリシールックアップ、一致したルールインデックス 0
2016-10-27 20:02: 53.356-0700 デバッグ: __pan_cfg_cp_policy_lookup (pan_cfg_cp_policy c:154): 返されたルールインデックスは 0Policy ルックアップ、一致したルールインデックス0、
セッション拒否ログパケットの生成が破棄され
、セッションのセットアップに失敗しました